Sobre a aplicação da revisão de dependência
Proprietários de empresas e pessoas com acesso de administrador a um repositório podem adicionar o ação de revisão de dependência à empresa e ao repositório, respectivamente.
Você pode usar dependency-review-action
no seu repositório para impor revisões de dependência nas pull requests. A ação examina versões vulneráveis de dependências introduzidas por alterações de versão do pacote em solicitações de pull e avisa você sobre as vulnerabilidades de segurança associadas. Isso oferece uma melhor visibilidade do que está mudando em uma solicitação de pull e ajuda a evitar que vulnerabilidades sejam adicionadas ao repositório. Para obter mais informações, consulte "Sobre a análise de dependência".
Você pode impor o uso do ação de revisão de dependência em sua organização configurando um conjunto de regras de repositório que exigirá que o fluxo de trabalho dependency-review-action
seja aprovado antes que as pull requests possam ser mescladas. Os conjuntos de regras do repositório são configurações de regras que permitem controlar como os usuários podem interagir com branches e tags selecionados em seus repositórios. Para obter mais informações, consulte "Sobre os conjuntos de regras" e "Exigir que os fluxos de trabalho passem antes da mesclagem".
Pré-requisitos
Você precisa adicionar o ação de revisão de dependência a um dos repositórios em sua organização e configurar a ação. Para obter mais informações, consulte "Configuração da ação de revisão de dependência".
Aplicando a revisão de dependência em uma organização
-
No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
-
Ao lado da organização, clique em Configurações.
-
Na barra lateral esquerda, na seção "Código, planejamento e automação", clique em Repositório e em Conjuntos de regras.
-
Clique em Novo conjunto de regras de branch.
-
Defina o status de aplicação como Ativo.
-
Opcionalmente, você pode direcionar repositórios específicos em sua organização. Para obter mais informações, consulte "Escolha de quais repositórios serão direcionados em sua organização".
-
Na seção "Regras", selecione a opção "Exigir que os fluxos de trabalho sejam aprovados antes do merge".
-
Em "Configurações de fluxo de trabalho", clique em Adicionar fluxo de trabalho.
-
Na caixa de diálogo, selecione o repositório ao qual você adicionou o ação de revisão de dependência. Para obter mais informações, confira "Pré-requisitos".
-
Selecione um branch e o arquivo de fluxo de trabalho para revisão de dependência na caixa de diálogo aprimorada.
-
Clique em Criar.